Phát hiện 341 kỹ năng độc hại trên ClawHub: Người dùng OpenClaw đối mặt rủi ro chuỗi cung ứng nghiêm trọng

[Nguyễn Tiến Đạt]

Các nhà nghiên cứu an ninh mạng vừa phát hiện 341 kỹ năng độc hại trên ClawHub – chợ ứng dụng dành cho trợ lý AI OpenClaw – làm dấy lên lo ngại nghiêm trọng về rủi ro chuỗi cung ứng trong hệ sinh thái trí tuệ nhân tạo mã nguồn mở.

Theo báo cáo do công ty an ninh mạng Koi thực hiện, nhóm nghiên cứu đã tiến hành phân tích 2.857 kỹ năng được đăng tải trên ClawHub và xác định hàng trăm kỹ năng có hành vi độc hại, phân tán trong nhiều chiến dịch khác nhau.

ClawHub và lỗ hổng từ mô hình “mở”​

ClawHub là kho kỹ năng của bên thứ ba, cho phép người dùng OpenClaw dễ dàng tìm kiếm và cài đặt các tiện ích mở rộng. OpenClaw là một trợ lý AI tự lưu trữ, từng được biết đến với tên gọi Clawdbot và Moltbot.

Tuy nhiên, chính mô hình mở – cho phép bất kỳ ai cũng có thể tải lên kỹ năng chỉ với một tài khoản GitHub tồn tại hơn một tuần – đã trở thành điểm yếu bị tin tặc lợi dụng.

Chiến dịch ClawHavoc và mã độc Atomic Stealer​

Phân tích của Koi, với sự hỗ trợ của một bot OpenClaw có tên Alex, cho thấy 335 kỹ năng đã lợi dụng các “điều kiện tiên quyết” giả mạo để phát tán phần mềm đánh cắp dữ liệu trên macOS có tên Atomic Stealer (AMOS). Chiến dịch này được đặt tên mã là ClawHavoc.

Kịch bản tấn công thường diễn ra như sau:
Người dùng cài đặt một kỹ năng trông có vẻ hợp pháp – chẳng hạn như công cụ theo dõi ví Solana hay tóm tắt video YouTube. Trong phần hướng dẫn, kỹ năng yêu cầu người dùng cài đặt thêm một “thành phần bắt buộc”.

• Trên Windows: người dùng được yêu cầu tải một tệp ZIP từ GitHub.
• Trên macOS: người dùng được hướng dẫn sao chép và chạy một đoạn lệnh shell từ glot[.]io trong Terminal.

Việc nhắm mục tiêu vào macOS không phải ngẫu nhiên, bởi ngày càng nhiều người sử dụng Mac Mini để chạy trợ lý AI 24/7.

Đánh cắp dữ liệu và tài sản số​

Các tệp cài đặt này chứa trojan có khả năng:

• Ghi lại thao tác bàn phím
• Đánh cắp khóa API, thông tin đăng nhập, dữ liệu nhạy cảm
• Thu thập thông tin mà bot AI có quyền truy cập

Mã độc tiếp tục kết nối đến máy chủ điều khiển tại địa chỉ 91.92.242[.]30 để tải thêm payload, bao gồm một tệp nhị phân Mach-O có đặc điểm tương đồng với Atomic Stealer – loại malware thương mại có giá từ 500–1.000 USD mỗi tháng trên chợ ngầm.

Kỹ năng độc hại được ngụy trang tinh vi​

Theo Koi, các kỹ năng độc hại được ngụy trang dưới nhiều hình thức quen thuộc, bao gồm:

• Kỹ năng giả mạo ClawHub (typosquatting)
• Công cụ ví và giao dịch tiền điện tử
• Bot giao dịch đa nền tảng
• Tiện ích YouTube
• Công cụ cập nhật hệ thống
• Ứng dụng tài chính, mạng xã hội
• Công cụ Google Workspace
• Trình theo dõi phí gas Ethereum
• Công cụ tìm Bitcoin thất lạc

Một số kỹ năng còn cài cửa hậu shell ngược hoặc đánh cắp thông tin đăng nhập bot trong thư mục cấu hình nội bộ.

Phản ứng từ OpenClaw và cảnh báo rộng hơn​

Trước tình trạng này, nhà sáng lập OpenClaw – Peter Steinberger – đã triển khai tính năng báo cáo kỹ năng độc hại. Các kỹ năng nhận hơn ba báo cáo từ người dùng sẽ tự động bị ẩn.

Dù vậy, các chuyên gia cảnh báo rằng hệ sinh thái AI mã nguồn mở đang trở thành mục tiêu hấp dẫn cho tội phạm mạng, đặc biệt khi AI có quyền truy cập dữ liệu nhạy cảm, bộ nhớ dài hạn và khả năng tương tác với hệ thống bên ngoài.

Palo Alto Networks gọi đây là “bộ ba chết người” của các tác nhân AI hiện đại, khiến các cuộc tấn công không còn mang tính tức thời mà có thể kích hoạt muộn, giống bom logic, khi hội đủ điều kiện thích hợp.

Lời cảnh tỉnh cho người dùng AI tự lưu trữ​

Vụ việc ClawHub là lời cảnh báo rõ ràng rằng AI không chỉ thông minh hơn, mà cũng nguy hiểm hơn nếu bị lạm dụng. Với người dùng OpenClaw và các nền tảng tương tự, việc kiểm tra kỹ nguồn gốc tiện ích, hạn chế chạy lệnh không rõ ràng và áp dụng kiểm soát bảo mật nghiêm ngặt là điều bắt buộc trong giai đoạn AI đang phát triển nóng như hiện nay.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview